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Анализ програмного обеспечения по стеганоанализу 


Стаття присвячена дослідженню й аналізу існуючих програм зі стеганоаналізу. Доведена необхідність 
розробки програмного комплексу, спрямованого на пошук, виявлення і вилучення прихованої інформації, 
контроль використання стенографічних алгоритмів. 

Ключові слова: захист інформації, стеганографія, стеганоаналіз, прихована передача даних, 
контейнер, повідомлення. 


Тре агіїсіє 15 деуоїеа іо Ше іпуезйдацоп апа апаЇузіє ої сиггепі ргоргатя Їог 5(ебапоапаї!узіз. Мееад Їог 
ргоггат сотріех деуеіортепі ої 5еагсі, деїесйоп апа Іоадіпє ої ріддеп іпіогтайоп аз уче! аз Гог сопіто| 
ої 5епоєгарріс аїєогійт5 иц5е 15 ргоуед. 

Кеу ууогаз: іпРогтлайоп ргогеспоп, зіевапогтарбу, 5егапаЇузіє, ріддеп ага (гапяїег, 

сомег птледйїит, пле55аєє. 


Статья посвящена исследованию и анализу существующих программ по стеганоанализу. Доказана 
необходимость разработки программного комплекса, направленного на поиск, вьуявленис и изьятиє 
скрьтой информации, контроль использования стенографических алгоритмов. 

Ключевьге слова: защита информации, стеганография, стеганоанализ, скрьтая передача данньтх, 
контейнер, сообщениє. 


Вступ 


Поширення комп'ютерної техніки і глобальних комп'ютерних мереж, простота 
в експлуатації обладнання (цифровими пристроями) і доступність для користувача 
безкоштовного або умовно-безкоштовного стеганографічного програмного забезпе- 
чення дозволяють сьогодні кожному бажаючому використовувати методи стегано- 
графії при передачі інформації. Цими методами з легкістю може скористатися і зло- 
вмисник -- протиборча сторона, яка намагається порушити безпеку інформації. Фахів- 
цям, які працюють у сфері комп'ютерної безпеки, правоохоронних органах 1 розвіду- 
вальних службах, необхідно мати можливість виявляти стеганографічне приховання 
інформації, яка передається по відкритим каналам зв'язку. Таким чином, на сьогодні 
існує великий інтерес до стеганоаналізу. Стеганоаналіз - наука про вивчення методів 
виявлення існування секретної інформації у відкритих повідомленнях | 11. 

Виявлення прихованої передачі даних, прихованих одним із багатьох існуючих 
методів стеганографії в різні формати контейнерів, є досить складним процесом, 
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який неможливий без застосування сучасних інструментів |2), 3). На сторінках росій- 
ськомовного та україномовного Інтернету знайти будь-яку програму, що працює для 
стеганоаналізу, виявилось неможливим. Зазначимо, що відсутність доступного широ- 
кому загалу дослідників ефективних засобів розв'язання задач стеганоаналізу приво- 
дить до зростання застосування стеганографії в протиправній діяльності. У світі ця 
ситуація виглядає по-іншому. Зарубіжні веб-сайти пропонують програмне забезпечення 
з різними ліцензійними вимогами, яке дозволяє вирішити задачу стеганоаналізу - 
встановлення факту існування в контейнері прихованої інформації. Опишемо і про- 
аналізуємо п'ять стеганоаналітичних програм, знайдених нами в мережі Інтернет. 


угеєуру у2.1 


Зтевуру у2.1 (рирі//лумлм зру-рипег.сот) - вільно поширюване програмне забез- 
печення зі стеганоаналізу, розроблене МісПаг!і Т. Каєєо. Програма виявляє існування 
інформації, прихованої за допомогою певних стеганографічних програм, таких як: 
Нідегтап, ІРНіде апа 5еек, МазКег, 7РеєХ, Пут81бІе Зесгеїз. Поточна версія програми 
також визначає й місцезнаходження вкрапленої інформації. Зїеєбру у2.1 була пред- 
ставлена автором на конференціях ІліоЗес 2004, ВіаскНаї 2004 й РеїСоп 2004. 

Уве5ру у2.1 написана мовою Уі8ца! Вазіс. Графічний інтерфейс програми (рис. 1 а) 
дозволяє користувачу вибирати файл-контейнер, який необхідно перевірити на наяв- 
ність вкраплених даних. 


ш Рогпті 112; 


Српоозе аїїеїо іпіегодаїв. 
Випмлії а/ом/уди іо споозе 
удиг їв апа ідепіїбу а піддеп 
теззаде. 


Зівдаподгаріу Їоцпаї аї та/кег розіїїоп 788948 
Нідвттап ргодгат деівсіваї! 


Зівдбру М2.1 Сорутіарі 2003, 2004 
Ццодо Сорутіарі 2003, 2004 
Ву ЗруНитівг мм вру-Пипівт. сот 


а 6 


Рисунок 1 - а- зовнішній вигляд програми 51еє5ру у2.1, 
6 - стеганоконтейнер Іеппа.ртр 
Щоб проаналізувати роботу програми 51еє5ру у2.1, був обраний файл у форматі 
х тр (рис. 1 6), в який було вкраплено текстове повідомлення з використанням сте- 
ганографічного додатка Нідегтап. Як видно з рис. І а, програма з успіхом виявила 


наявність прихованої інформації, вкрапленої за допомогою цього додатка, починаючи 
з позиції 738948. 
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Відомо, що заголовок 7.ртр файлу містить поле, яке вказує на розмір файла. 
На рис. 2 зображені верхні й нижні частини зображення в шістнадцятирічному реда- 
кторі. Заголовок файлу Іеппа тр (рис. 2 а) вказує, що його розмір дорівнює 756436 
(00 ОС 00 36) байт. Однак дані наприкінці заголовка (рис. 2 б) відображають розмір 
788950 байт, що свідчить про наявність іншої інформації, прикріпленої до файла. 
Видно рядок "СІМ". Цей рядок завжди присутній при використанні стеганографічного 
додатка Нідегтап. СОМ - сигнатура Нідегтап, і використовується З1іеєзру у2.1, щоб 
виявити стеганографічне програмне забезпечення, яке використовувалося для вкрап- 
лення повідомлення. 


731 м/іпНех - Пеппа. Брі 


Оїіївеї 0 1 ооо 5 6 7 8 9 10й 11 
о0000000 42 4г036 00 0С 00700 00 00 00 36 00 
00000017 00 00 02 00 00 00 02 00 00 01 00 18 


ппппоппопзя ппоппопе ппоппоо пп оппо пп ппоппоппо пп 
« 


Радеї ої 15470 Обвеї: «0 Віоск: 


731 м/іпНех - Пеппа.Бтрі 


Біе Едїв Зеагсп  Мамідабоп  Міеми Тосі5 б5ресіаїз: Орбоп5 Міпдом» Неїр 


ОїбіЕвеї о 1 2 3 4 5 б 7 8 39 10 11 12 13 14 15 16 
00788919 00 03 00 "А 09 00 00 00 00 02 09 01 07 02 01 04 06 
00788936 01 06 02 01 01 07 01 09 02 05 12 43 44 4Е 


« 
Раде 15470 ої 15470 Обееї: 788949 «78 Віоск: 78894? -788949 Зіге: 


6 


Рисунок 2 - Перегляд зображення в шістнадцятирічному редакторі: 
а - початок заголовка файла Іеппа.Бтпр, б - кінець файла 


Посилаючись на автора |41, 5їеє5ру у2.1 використовує сигнатурні методи сте- 
ганоаналізу. Сигнатурні методи виконують пошук бітових послідовностей, специфічні 
для певних стеганографічних програм. Проте, змінюючи, наприклад, сигнатуру "СОМ" 
на 7000", Зтевбру у2.1, не в змозі виявити стеганографічне приховання в зображенні 
х.ріпр. Таким чином, 5їеб5ру у2.1 покладається тільки на сигнатуру файла й ігнорує 
виявлення аномалій файла. Тому після виявлення відомої сигнатури бажано перегля- 
нути файл в шістнадцятирічному редакторі, щоб визначити місце розташування пози- 
ції вкраплених даних, наприклад, виявляючи кінець зображення, який базується на 
інформації заголовка. 

Недоліки: 

1. Не дуже зручний графічний інтерфейс. Зїеб5ру у2.1 проводить аналіз лише 
одного файла і не підтримує аналіз для набору файлів. 

2. 5Бев5ру у2.1 виявляє наявність вкраплених даних, прихованих однією з апрі- 
орно відомих стеганографічних програм, 1 тільки в тих форматах файлів, які ці прог- 
рами підтримують. 

3. Бїеєбру у2.1 використовує тільки сигнатурний метод, не підтримує методи, 
які базуються на виявленні аномалій файла. 

4. Програма не вдосконалювалася з 2004 року. 
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теє дегесі 0.6 


Зтердекесі 0.6 (пеер://лум/му оцідце558.оге/) - програмне забезпечення з відкритим 
програмним кодом для автоматичного виявлення застосування стеганографії в зоб- 
раженнях. Розробником програми є Міеі8 Ргоуо5 |5|. Програма здатна виявляти декілька 
різних стеганографічних методів, які застосовуються для приховування інформації в 
ЛРЕС зображеннях. Поточна версія виявляє наявність прихованих даних, які були 
вкраплені такими стеганографічними програмами, як )51еє, Лоріде (Опіх та УМ/іпдому5), 
Плуї8ібІе Зестеїз, Ошієцез5 0.13Ь, Е5 (Неадег Апаїузі8), аррепдаХ та СатоиНПаєє. 

На рис. 3 наведений графічний інтерфейс програми -- Х5іеє, при дослідженні 
двох файлів, пустого контейнера й контейнера, який містить приховані дані у 
форматі РРЕС. Програма 51еєбдегесі 0.6 не тільки виявляє наявність прихованих 
даних у  файлі-контейнері, але 1 правильно - припускає використовувану 
стеганографічну програму - /РНіае. 


Ен.» -Ївіх| 
Ейе  Орбоп5 Нер 
іні оріїопа З ор 
г удіед Зепеіїміу: П00 З 


г рніче 
г оцідцеєз 


г іпмівібіе 


Ейепате Оеївсіїоп 


САМу Ргодгатязівдолехатріезі аніепіпад ага м д)ра )рбіде( 77) 
САМу Ргодгатехзіедолехатріавмі дріепіпо, |аг5 ра педаїме 


Меззаде мі парну: 
Зіапіпо зівддвівсімій «рої -81.000 


Рисунок 3 - Зовнішній вигляд програми 5іеєдеіесі 


Утердетесі 0.6 в першу чергу перевіряє поля-коментарі й поля розширень різних 
форматів файлів, наявність штучно створених зображень, а також зображень із вели- 
кою кількістю монотонних областей. Програма порівнює частоту розподілу кольорів 
для можливого носія прихованої інформації й теоретично очікувану частоту розподілу 
кольорів для файла-носія прихованої інформації. 5іердеїесі 0.6 показує гарні резуль- 
тати в тому випадку, якщо вміст вкрапленої інформації перевищує 1090 від обсягу 
файла-контейнера. 

Утердетесі 0.6 підтримує аналіз лінійного дискримінанта. З набору пустих зоб- 
ражень 1 набору зображень, які містять вкраплену інформацію, приховану одним із 
стеганографічних методів, 5їеєдеіесі 0.6 може автоматично визначити лінійну функ- 
цію виявлення, яка може бути застосована до некласифікованих зображень. 

Аналізом лінійного дискримінанта обчислюється розділювальна гіперплощина, 
що відокремлює пусті контейнери від стеганоконтейнерів. Гіперплощина характери- 
зується як лінійна функція. Досліджувана функція може бути збережена для подаль- 
шого використання в нових зображеннях. 

Утердетесі 0.6 підтримує декілька різних функцій векторів й автоматично обчи- 
слює одержувані характеристики управління, які можуть бути використані для оцінки 
якості автоматично досліджуваної функції виявлення |бЇ, |71. 
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Супутня Зіеєдеїесі 0.6 програма З5їеєбгеак використовується для запуску атак 
«перебором за словником» проти )51е9-5ре!, /РНіде апа ОпіСиезз 0.13Ь. 

Недоліки: 

1. Підтримує тільки виявлення інформації в /РЕС файлах. 

2. Зіердеіесі 0.6 виявляє наявність вкраплених даних, прихованих однією з апрі- 
орно відомих стеганографічних програм. 

3. Програма не вдосконалювалася з 2001 року. 


Х5іеєбуестеї Бега у0. 1 


Хзіеє5естеї Бега уб.1 (рієр://аіеряестес.50итсебогое.пеї) - відкритий проект зі сте- 
ганоаналізу, мета якого спрямована на збір, реалізацію і полегшення використання 
різних стеганоаналітичних методів, застосовних до цифрових медіа-файлів, таких як 
зображення, аудіо й відео. Розробником є іспанський дослідник АНоп5о Мийо»?. Про- 
грама має загальну публічну ліцензію Сепегаї Рибіїс Ілсеп5е (ОМ). Графічний інтер- 
фейс програми написаний іспанською мовою, але для пересічного користувача є інту- 
їтивно зрозумілим. 

Програма надає можливість спочатку виконати сканування всієї файлової сис- 
теми або окремих тек досліджуваних носіїв на наявність файлів-артефактів, які можуть 
бути асоційовані з окремим стеганографічним додатком. Програма містить базу да- 
них ВРАЗ уд.1, яка ідентифікує більше 40 стеганографічних програм (рис. 4). 


р 51ед5естгеї - Неггатіепіа е Оетессібп Езтедаподгайса - || 
Орсіопез Ауціа 


Атої де Оїгесіогіоє Апаїівів дв Ріспегоє де ип Оїігесіогіо 


Матге деіЕіспего | | Аїгібуіоє Татайо (рув5) Уніта Моліїйсасіби 
5 ди 0 |Ріі Мау 04 20:54:51 ж 


0 Еті Мау 04 20:54:54.1- 
ГА Слзіедапоогарлу ї 3т005 Їмоп Маг 26 19472 
о- СУ Слєівдаподгаріміриє 05 всі. Їм 0 ТЕй Мау 04 20:54:54 
9- (З Слеївдаподгаріуівіва м СУ "Рі Мау 04 20:54:54 
Гу слвівааподгарпубеатсі йївз. зївдрійів я Раскеї 8їот. піт г п 0 ЇЕті Мау 04 20:54:51 
9о- С3 Слзівдаподгарпубеатсі йїіез зівапіде а Раскеї 5їогт, бівє 00 ) 0 Рті Мау 04 20:54:55 
Слвівдаподгарпувівдапов 
даподгаріпуєіедріде 

о- СУ Слвівдаподгарпувіооі 


|Рапісіоп Че Раїоз ІМТЕ5ІЕХТІРАТЗ2)... 


| Р Нспегоз | ХТ евіаціївіісає 


Мотге Ріспего Ргодгата Татайо Іп'о Осиіа (рез) Виа 
Урпіде.ехе 8І РІ Урніде 0.5 Слеіедаподгаріуірив. Обііри805їірріде.ехе 
|Уризмип.ехе | |Роб Урнідемиїп 0.5 Савівдаподгаріуриз 05)риз05Мривмиїп.ехе 
ІСУРЕО.ЕХЕ й |Ро8 узівду4 С ар ізів ІСУРЕЗ.ЕХЕ 
ОЗРЕФ.ЕХЕ 1 у: Сеівдаподгар ДІООРЕЗЕХЕ 
зівдпідв.ехе 5 дпідем! Слеївдаподгарпуізівд зівдпіде-0.5.1-мї п 3 2з| 
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Рисунок 4 - Зовнішній вигляд програми Хз81іеє5естеї Бега мб). 1: 
процедура виявлення стеганографічних програм в теці, яка досліджується 


Після того, як цифровий стеганографічний додаток виявлено, існує можливість 
виявити файли, які, можливо, були використані як стеганоконтейнери. 

Х5іерЗестеї Бека у0.1 виявляє інформацію, приховану за допомогою таких програм, 
як СатоицПаєе У1.2.1, іпТБеРісіште у2, ТГРЕСХУ?.1.1, РСЕ (Ргеку Сооа Епуеіоре) у1.0, 
аррепаХ ух-4, 5іерапоогарпу у1.6.5, іпРіаїпУтему, Рагазтає у1.5 та дахабіеаї т у1.0. 
Для виявлення прихованої інформації програма використовує візуальний, структурний 
та статистичні методи стеганоаналізу (метод у та В5-стегано-аналіз). 
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Візуальні методи базуються на здатності зорової системи людини аналізувати 
зорові образи і виявляти істотні відмінності в зображеннях, що порівнюються. Основна 
ідея методу візуального аналізу бітових площин полягає в порівнянні зображення в 
цілому із зображеннями його бітових площин. Хяіеєбестеї Бека у0.1 дає можливість 
розкласти зображення на його індивідуальні бітові площини (рис. 5). Бітова площина 
складається з одного біта пам'яті для кожного пікселя в зображенні і є типовим місцем 
зберігання інформації, прихованої за допомогою стеганографічних додатків. Будь- 
який незвичний зовнішній вигляд у відображенні площини молодшого двійкового 
розряду буде означати існування вкраплених стеганографічних даних. 
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Рисунок 5 - Зовнішній вигляд програми ХзіеєЗестеї Бека у0. 1: 
процедура виявлення інформації в зображенні за допомогою 
візуального методу бітових площин, методу у" і В5 стеганоаналізу 

Методи структурного аналізу намагаються виявити зміни у форматі файла даних. 
Аналіз стеганографічних програм, таких, як Сатойийаєе У1.2.1, аррепаХ ух-4, 5іевапо- 
єгарру у1.6.5, Ракабіавв у1.5 показав, що вони «приховують» інформацію, просто 
дописуючи її в кінець файла-контейнера. Очевидно, подібні програми не є стегано- 
графічними, тому що порушують основні принципи стеганографії - місце розташу- 
вання, а найчастіше й сама прихована інформація може бути легко виявлена. Програма 
Хзіерб5естеї Бека уб.1 надає можливість розпізнати контейнери, до яких прикріплена 
інформація після мітки кінця файла. 

Статистичні методи аналізу намагаються виявити найменші зміни в статистичній 
поведінці файла, викликаній вкрапленою стеганографією. Відомо, що частоти двох 
сусідніх елементів контейнера мають перебувати досить далеко від значення частоти 
середнього арифметичного цих елементів. У «пустому» зображенні ситуація, коли 
частоти елементів зі значеннями 2МУ і 2М 1 близькі за значенням, зустрічається 
досить рідко. При вкрапленні інформації дані частоти зближаються або стають рів- 


ними. Ідея методу у" полягає в пошуку цих близьких значень і підрахунку ймовір- 


ності вкраплення на основі того, як близько розташовуються значення частот парних 
і непарних елементів аналізованого контейнера. Результати роботи програми ХзіеєЗестеї 


Бека у0.1 за критерієм у" залежать від методу, який використовувався при прихову- 
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ванні інформації. Програма забезпечує гарні результати (рис. 5), якщо приховування 
інформації здійснювалося за допомогою методу послідовної заміни найменш значу- 
щих бітів елементів контейнера або методу вкраплення повідомлення із заповненням. 
При псевдовипадковому виборі молодших бітів (розподіленому вкрапленні) програма 
не спрацьовує. 

Недоліки: 

1. Хбіеєбестеї Бега У0.1 виявляє біля 40 стеганографічних програм (розпізнає 
тільки файли ї.ехе, які використовуються для інсталяції стеганопрограм), але знахо- 
дить не всі стеганоконтейнери, які були створені цими програмами. 

2. Не дуже зручний інтерфейс для аналізу окремого потенційного файла-кон- 
тейнера. Доводиться відкривати багато меню, щоб вибрати відповідну опцію. 

Останнє оновлення програми було в 2007 році. 


угеєо Ушіе 


Зтеєо 5шке (рієр.//уекзтопетесі сопа/ргодисі/5еєо-5ціте/) - комерційний програмний 
продукт, розроблений фахівцями корпорації М/еббгопе Тесппоїовіез, що спеціалізується 
на розробці програмних комплексів для гарантування інформаційної безпеки локальних 
і глобальних комп'ютерних мереж. Замовниками цієї компанії є такі структури, як 
Військово-повітряні сили США та Національний інститут юстиції. 

Програмне забезпечення З1іеєо З5шіе створено з метою швидкого ідентифікування, 
дослідження та аналізу цифрових зображень й аудіофайлів на наявність прихованої 
інформації або секретних каналів зв'язку. Реклама продукту, яка знаходиться на сайті 
розробника, дає інформацію тільки про його склад 1 коротку характеристику. 

Пакет З1его Зиїе містить: 

- Угеєо Нипіег - програмний компонент, який застосовується для виявлення на 
досліджуваних файлах-носіях інстальованого або раніше інстальованого стеганогра- 
фічного програмного забезпечення; 

- ЗУгеєо Маїср - програмний інструмент, який сканує всі загальні типи файлів 
цифрового зображення 1 аудіофайлів і виявляє будь-які артефакти, використовуючи 
«сліпий» метод стеганоаналізу. 

- Утеєо Апаїузі - візуальний аналітичний програмний компонент для всебічного 
аналізу цифрових зображень й аудіофайлів; 

- Укеєо ВгеаК - автоматичний інструмент зламу стеганографічного захисту. 

Отримати доступ до комплексу програм можливо з придбанням ліцензії, яка 
надається за запитом. Вартість ліцензії на офіційному сайті не зазначена. 

Недоліки: Неможливість дослідити і проаналізувати програмний продукт. 


угесапоєтарпу Апаїу7ег 


Сімейство продукції 51е2.АТугег створено Центром стеганографічного аналізу й 
дослідження 5АКС (Зїесапостарру Апаїубі8 апа Кезеагср Сепіег), головним центром в 
компанії Васкбопе Зесигіку.Сота (ПЕрз://лммлм 5агс-му. соту). Ці продукти призначені 
полегшити складну роботу, яка потребує багато часу дослідників під час проведення 
розслідування, що включає необхідність проведення стеганографічного аналізу. 

Угерапоргарпу Апаїугег містить три компоненти: 51еєАЇу7егАЗ8, ЗіеєАТу7ег55, 
Утеє АТу7гегЕТ5. 

ЗгееАІТугегдА5 - програмний засіб аналізу, який застосовується для виявлення 
цифрового стеганографічного програмного забезпечення на досліджуваних носіях. 
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Букви АЗ5 у назві програми 5іс2АІугегАаЗ означають «пошук артефактів» (Агіасі Зеагсп). 
Для розпізнання артефактів цифрових стеганографічних додатків відбувається ска- 
нування файлової системи, а також реєстру операційної системи У/ іпдомуз. 

Щоб визначити, чи існують залишкові файли-артефакти стеганографічних додат- 
ків на досліджуваному носії, центр 5АКС розробив Базу даних контрольних сум сте- 
ганографічних додатків (5АЕІВ - 5(есапостарпу Арріїсайоп Еіпеегргіпі РДаїабазе). 
База даних 5АЕДВ містить профілі файлів, пов'язаних з 1025 стеганографічними 
додатками, додатками для створення цифрових водяних знаків та іншими додатками 
для приховування даних. Профілі файлів містять ідентифікуючу інформацію, таку як 
назва асоційованого додатка й кілька унікальних геш-значень: СЕС-32, МІ5, 5НА-І, 
ЗНА-224, 5НА-256, 5НА-334 й 5НА-3512. Ці геш-значення можуть використовуватися 
для визначення присутності стеганографічних додатків або артефактів стеганогра- 
фічних додатків на досліджуваних носіях. База даних 5АЕРВ доступна на сайті центру 
ЗАВС у форматах, сумісних із програмами Епсазе, ЕТК, На5іКеерег, Шоок, і Ргоізсомег. 
База даних 5АЕРВ також поставляється в комплекті із продуктом 51еєДІугегаз8. 

На додаток до геш-значень файлів база ЗАЕРОВ містить набір ключів реєстру 
Місгоз8оїї М/іпдом 8 (ВАКГВ - Керізіту Агійасі Кеу Пагабазе), які створюються або 
змінюються в результаті інсталяції стеганографічного додатка. Ці значення можна 
порівняти з досліджуваним реєстром, щоб з'ясувати, чи існував або зараз існує сте- 
ганографічний додаток у системі. Якщо є позитивний збіг, то дослідник з високим 
ступенем ймовірності може стверджувати, що певний стеганографічний додаток існу- 
вав в аналізованій системі. 

Зтеє АТугег55 (Зієпаїшге 5саппег) - програмний засіб аналізу, що дозволяє пере- 
глядати досліджувані файли-носії на присутність шістнадцятирічних послідовностей 
байтів або сигнатур певних стеганографічних додатків. Після того, як відома сигнатура 
виявлена, передбачена можливість вилучення інформації, прихованої за допомогою 
асоційованого додатка. 5іе2АІГугег55 також використовує методи «сліпого» пошуку для 
встановлення факту наявності прихованої інформації в потенційних файлах-контейнерах. 

теє АТугегК Т5 - програмний компонент, що виявляє стеганографічні артефакти 
й сигнатури в мережі в режимі реального часу. Програма визначає завантаження й 
використання стеганографічних додатків, крадіжку прихованої інформації й спробу 
відправлення її зовнішнім одержувачам (публікація в Інтернеті, пересилання елект- 
ронною поштою). Подивитись, як працює ця програма, можна на сайті компанії, пере- 
глянувши відеоролик. 

На жаль, дослідити, проаналізувати 1 зробити висновки про якість роботи цих 
програм не виявляється можливим. Для використання цих програм необхідна ліцензія, 
яка коштує 9955 для 516 АТугегА5 1 14955 для 5кеєАТугег55. Ліцензії включають всі 
відновлення продуктів протягом одного року з моменту їх придбання. 

Недоліки: велика вартість продукту, внаслідок чого неможливий його аналіз. 


Висновки 


У мережі Інтернет доступні сотні стеганографічних програм, більша їх частина 
доступна у вигляді безкоштовного або умовно-безкоштовного програмного забезпе- 
чення. Ці програми можуть бути використані і в незаконній діяльності. На сьогодні 
на вітчизняному ринку бракує доступних широкому загалу дослідників і експертів 
засобів стеганоаналізу, що дозволяють здійснювати контроль використання стегано- 
графічних алгоритмів і припиняти їх нелегальне використання. Актуальною задачею 
є розробка програмного комплексу, спрямованого на пошук, виявлення і вилучення 
прихованої інформації. 
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р чо 


КЕЗ5СМЕ 
І.У. 5Нуй4аспепко 


Пуезпяатоп ої Угесапаїубвія УоПумаге 

УЗгевоапаїузія 15 Фе 5сіепсе ароші Ше декесйоп ої Ше Гасі ої піддеп Чаїа ітгап5іег іп 
Фе апаїузей соуег плейіит. ТПе деїесйоп ої піддеп 4ага (гап5їег 15 а сопаріїсатед ргосез5 
мурісп геаПу пеедз ир-іо-даїе 5оїімаге ї0015. Хоууадаує, Ше у/лде гапее ОЇ іпуе5ісаког3 
апд ехрегія ро у/огК іп Ше зрреге ої ака ргоїеспоп ІасК ауайабіе 50 аге ргодисія іп 
згевапаЇузі8. Тре 155це ої 5оїбмуаге сопаріех сгеайоп, мріср сошід іпсіиде а! Фе Кпомп 
згевапаТунсаї птешодя апа Ше пем/ опеє, 15 опе ої ре то5і игеепі. 

Тре агісіе 15 деуоїед (о Ше іпуе5іпвайоп ої 5кесапаїубія 50Їмуаге, мрісП 15 сштепіу 
амайабіе оп Ше у/огід 5о0йимаге тагкКеїг. 


Стаття надійшла до редакції 05.06.2012. 
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